Cam IT Solutions
Om te voldoen aan de nieuwe richtlijnen omtrent databeveiliging focussen organisaties zich voornamelijk op data en applicaties. Toch speelt de infrastructuur ook een belangrijke rol in het compliant worden aan de GDPR. Rainier de Sitter, CTO bij infrastructuurexpert Cam IT Solutions, zet de verschillende aandachtspunten op een rij. “Onderschat de rol van infrastructuur niet.”
Zorginstellingen zijn volop bezig om de status van hun datahuishouding in kaart te brengen. Welke datastromen zijn er in onze bedrijfsprocessen? Wat daarvan is privacygevoelig? Waar staat het? “Wanneer deze en soortgelijke vragen zijn beantwoord, kan er naar andere zaken worden gekeken”, weet De Sitter. “Zoals naar: Wat heb ik in mijn infrastructuur gedaan om datalekkage te voorkomen? Kunnen we bij een datalek achterhalen wat er precies is gebeurd? Deze vragen bestrijken vele aspecten die een breed spectrum beslaan van bedrijfsprocessen, de inrichting van ict-hulpmiddelen tot aan de bewustwording onder medewerkers.”
Monitoring
Diverse infrastructurele beveiligingsmaatregelen kunnen helpen datalekken te voorkomen en vergemakkelijken de eventuele ‘nazorg’ bij datalekken aanmerkelijk. Als eerste concrete beveiliging noemt De Sitter anti-malwareoplossingen. “Besmetting met ransomware waarbij persoonsgegevens zijn betrokken, wordt als een datalek gezien. Met de huidige geavanceerde oplossingen kunnen problemen worden gedetecteerd en direct de pas afgesneden. De klassieke anti-malware werkt reactief en is gebaseerd op herkenning van bepaalde executables en dergelijke. De meeste malware – sommige bronnen spreken van 90 procent – komt in het veld maar één keer voor. De veranderingsgraad is dus zo hoog dat je er geen herkenning tegenaan kunt schrijven. Om de zogeheten zero-days malware – virussen die nog niet in de anti-virusdatabase staan – te detecteren, moet afwijkend gedrag proactief worden herkend. Zoals een programma dat verbinding legt met ongewone servers in China of Rusland, of plotselinge onverklaarbare hoge activiteit. Deze continue monitoring van systemen en het analyseren van logbestanden – SIEM (Security Information & Event Monitoring) – maakt proactief en snel handelen bij mogelijke security issues veel gemakkelijker. Dankzij onze nauwe samenwerking met cybersecurity specialist ON2IT, kunnen wij gedragsherkenning op hoog niveau toepassen, zodat bedreigingen tijdig kunnen worden gedetecteerd.”
De zandbak
Het detecteren van kwaadwillende software of data is één ding, het uitschakelen is iets anders. Bij een vermoeden van malware moet deze eerst diepgaand worden geanalyseerd. “Dit kan niet aan de interne kant van het netwerk worden gedaan”, aldus De Sitter. “Dat zou de normale werkzaamheden onacceptabel vertragen. Hiervoor is sandboxing de ideale oplossing. Bestanden en executables die potentieel gevaarlijk zijn, komen automatisch in de sandbox terecht. In deze container wordt verdachte data geactiveerd. Is het malware dan richt het in die zandbak geen enkele schade aan. De bedreiging is ontmaskerd en wordt direct gemitigeerd, zodat het wereldwijd in beveiligingssystemen wordt bijgewerkt. Is het vals alarm, dan wordt de datastroom gewoon doorgestuurd.”
Centrale opslag logs
Nu is geen enkele beveiliging waterdicht, dus mocht het toch misgaan, dan moet een organisatie exact kunnen herleiden wat er is gebeurd, wat er is ontvreemd en welke tegenmaatregelen er zijn genomen. Bovendien moet dat snel gebeuren. “Een datalek moet binnen 72 uur worden doorgegeven aan de Autoriteit Persoonsgegevens”, vertelt De Sitter. “Lukt het niet om het lek binnen 72 uur te melden, dan zal een verklaring gegeven moeten worden voor de vertraging. Om een en ander te reconstrueren zijn logbestanden nodig. Ieder systeem heeft wel een eigen logging, waardoor ze sterk decentraal worden bewaard. Binnen de CAMCUBE worden alle logs centraal opgeslagen, zodat je de gang van zaken veel sneller kan reconstrueren. Ook bij het bepalen van de impact van een datalek is snelheid geboden. Het kan zijn dat de betrokkenen moeten worden ingelicht over het feit dat hun persoonsgegevens zijn gelekt. Zij moeten namelijk de gelegenheid krijgen hun eigen maatregelen te treffen om schade zoveel mogelijk te beperken. In zo’n situatie wil je niet eerst nog eens die logs van overal en nergens vandaan moeten halen. Ieder uur telt.”
Segmentatie
Wanneer de schade zich beperkt tot één besmette werkplek, is er geen reden tot paniek. Zeker niet in de werkwijze van de CAMCUBE, waar op de werkplekken geen data te vinden is. De uitdaging wordt echter groter wanneer een virus horizontaal de organisatie ingaat naar filesystemen en databases. De Sitter: “Segmentatie van het netwerk bemoeilijkt het verspreiden van malware. De risico’s worden ingeperkt en de detectiegraad wordt verhoogd. Bovendien kun je IDS (Intrusion Detection System) toepassen, wat onverwachtse en ongewenste verbindingen heel snel detecteert. Segmentatie van het netwerk helpt dus om datalekken zoveel mogelijk in te perken.”
Updates
Diverse andere maatregelen zijn volgens De Sitter ook zeker het vermelden waard. “Toegangscontrole speelt een essentiële rol binnen de CAMCUBE. Binnen de zorg is het niet vanzelfsprekend dat iedere werkplek snel en veilig beschikbaar is voor iedereen die achter het beeldscherm plaatsneemt. Een ziekenhuis heeft gemiddeld 500 verschillende applicaties. Niet gek dus dat wachtwoorden in de praktijk worden vergeten. Dat belast niet alleen de servicedesk, maar kan tot een ernstig datalek leiden wanneer wachtwoorden op briefjes onder het toetsenbord worden bewaard. Met single sign-on behoort dit veiligheidsrisico tot het verleden. Onder één inlognaam en wachtwoord worden de namen en wachtwoorden van alle applicaties van een gebruiker veilig bewaard, en worden alle toepassingen die iemand mag gebruiken, ontsloten. Aan- en afmelden kan op iedere werkplek, zodat een inderhaast verlaten werkstation weinig tot geen risico op een datalek vormt.”
Updaten en patching noemt De Sitter een maatregel die vanzelfsprekend lijkt, maar toch wordt verwaarloosd. “Het is wrang als we bedenken dat de meeste datagijzelingen met ransomware voorkomen hadden kunnen worden als er regelmatig updates van de diverse applicaties waren uitgevoerd. Naar schatting is 80 procent van de systemen in de zorg niet up-to-date. In een 24×7-organisatie als een ziekenhuis is dat ook een stevige uitdaging. CAM hanteert in haar infrastructuur een cadans waarbij updates elke drie maanden worden doorgevoerd, tenzij er uiteraard sprake is van een hoge urgentie, zoals met het WannaCry-virus.”
Ook noemt De Sitter nog encryptie. “Dat is meer een preventieve maatregel, die afgevangen data ontoegankelijk maakt. Hier zijn inmiddels vrij standaard oplossingen voor beschikbaar, al worden de encryptieniveaus voortdurend opgehoogd.”
Trusted party
Naast de technische kant van de zaak, spelen ook diverse andere issues met betrekking tot GDPR. Zo zijn ziekenhuizen en andere zorginstellingen eigenaar van alle data. Als leverancier en beheerder van de infrastructuur hoeft CAM niets te doen met die data. CAM doet geen technisch applicatiebeheer, dus er vindt geen onderhoud plaats ín databases. “Desondanks gaat de data over de hele infrastructuur heen”, vertelt De Sitter, “dus in die zin is ook CAM een trusted party. Daarom moeten ook wij de dataprivacy kunnen borgen. Hiertoe moet een zogeheten ‘bewerkersverklaring’ worden opgesteld, waaruit blijkt in hoeverre de ict-leverancier toegang heeft tot de data.
Bewustzijn
Cam IT Solutions organiseert regelmatig architectuursessies en bezoekt ieder kwartaal haar relaties. “Daar wordt – onder veel meer – ook over GDRP wordt gesproken”, vertelt De Sitter. “Dat is heel erg belangrijk, want heel vaak regeert ‘de waan van de dag’ en gaat het gesprek over prestaties en beschikbaarheid van applicaties. Logisch, over deze onderwerpen komt de meeste druk vanuit de organisatie. Maar het creëren van bewustzijn omtrent de nieuwe richtlijnen rondom gegevensbescherming, is essentieel om het ook te laten slagen.”
Een nieuw tijdperk
Met ingang van 15 augustus 2017 is Cam IT Solutions B.V. een 100% dochter van KPN B.V. Na ruim 30 jaar autonome groei en ontwikkeling is vanuit een sterke positie en met volle overtuiging gekozen voor een strategisch partnerschap met KPN als robuuste basis voor onze verdere toekomst.
Dit luidt een nieuw tijdperk in voor deze toonaangevende it-dienstverlener in de zorg en publieke sector. Lezers van ICT/Magazine weten inmiddels dat CAM betrouwbare, veilige en gebruikersvriendelijke toegang verzorgt voor circa 50.000 gebruikers tot de centrale applicaties vanuit het CAMCUBE Private Cloud Platform. CAM ontzorgt haar relaties (ziekenhuizen, zorginstellingen en andere publieke organisaties) van technisch beheer en zorgt voor doorlopende ontwikkeling en innovatie van de it-werkplekken en de achterliggende connectiviteit.
KPN heeft de visie, ambitie en kracht om vanuit een holistische rol de verbindingen te maken tussen de kansen van ict-technologie en de uitdagingen in de zorg. CAM past in de ambitie van KPN om te groeien in ict-dienstverlening. Frank van der Post, Chief Commercial Officer bij KPN: “Met de overname van CAM versterken we onze positie in de zorgsector, een sector die snel en in toenemende mate digitaliseert. CAM heeft zeer specialistische kennis in het leveren van it-werkplekken voor zorgorganisaties. KPN heeft technologische expertise, toonaangevende infrastructuur en distributiekracht in de zorgsector. Samen zien wij kansen om in te spelen op de toenemende vraag naar integrale ict-oplossingen en bij te dragen aan de verdere digitalisering van de zorg – een belangrijke voorwaarde om deze betaalbaar te houden en toekomstbestendig te maken.”
Willem Drijver, CEO van CAM: “KPN biedt als strategisch partner een toekomstbestendige basis voor de verdere ontwikkeling van CAM als toonaangevende healthcare platform provider in Nederland. De gerichte samenwerking zal gaan leiden tot een slimme combinatie van diensten en gezamenlijke innovatie over de gehele zorgketen, waardoor wij onze klanten beter kunnen ontzorgen.”